Iptables阻止第7层DDoS攻击

Question

最近，我经历了很多针对我的网站的第7层ddos攻击。具体来说，是索引页面上的HTTP请求泛滥。(~20k r/s)，我的服务器在OVH，所以它没有超载管道，但是有什么方法可以使用iptables我可以检测到it谁提出了过多的请求，并放弃他们的连接，以避免超载我的网络服务器？或者，是否有更好的解决方案来过滤这些数据包，同时又不对合法客户端产生负面影响。

我在使用apache，在ubuntu12.04上。

Answer 1

因为HTTP是TCP，而TCP需要双向通信，所以攻击的源地址实际上是攻击源。

因为源是已知的，而不是欺骗的，所以您可以在iptables中进行等级限制，从而大大减少每个源的请求量。

如果有太多的源可以通过这种方式来管理负载，那么您需要找到一些关于请求的信息，才能将它们归类为可下垂的，然后让您的web服务器删除它们。想法：

• 请求所有相同的特定资源？
• 不规则标头(它们不是请求压缩吗？)发送HTTP/1.0？当普通用户不发送cookie时)
• 相同或可预测的用户代理？